WO2020143119A1 - 物联网DDoS攻击防御方法、装置、系统及存储介质 - Google Patents
物联网DDoS攻击防御方法、装置、系统及存储介质 Download PDFInfo
- Publication number
- WO2020143119A1 WO2020143119A1 PCT/CN2019/079699 CN2019079699W WO2020143119A1 WO 2020143119 A1 WO2020143119 A1 WO 2020143119A1 CN 2019079699 W CN2019079699 W CN 2019079699W WO 2020143119 A1 WO2020143119 A1 WO 2020143119A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- data packet
- specified location
- location information
- iot
- iot device
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000007123 defense Effects 0.000 claims description 35
- 238000012545 processing Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 10
- 230000015654 memory Effects 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 6
- 230000008439 repair process Effects 0.000 claims description 5
- 238000001514 detection method Methods 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 abstract description 6
- 239000003550 marker Substances 0.000 abstract 2
- 230000002708 enhancing effect Effects 0.000 abstract 1
- 230000007246 mechanism Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- HRULVFRXEOZUMJ-UHFFFAOYSA-K potassium;disodium;2-(4-chloro-2-methylphenoxy)propanoate;methyl-dioxido-oxo-$l^{5}-arsane Chemical compound [Na+].[Na+].[K+].C[As]([O-])([O-])=O.[O-]C(=O)C(C)OC1=CC=C(Cl)C=C1C HRULVFRXEOZUMJ-UHFFFAOYSA-K 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/36—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with means for detecting characters not meant for transmission
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明适用计算机技术领域,提供了一种物联网DDoS攻击防御方法、装置、系统及存储介质,该方法包括:在获得从当前物联网设备传来的数据包后,解析所述数据包,获得所述数据包中指定位置信息,再根据所述指定位置信息与预设信息的匹配结果,对所述数据包进行对应DDoS攻击防御处理。这样,利用对物联网设备的数据包指定位置的标记,通过对标记的识别,区分DDoS攻击流量或非DDoS攻击流量,从而简化物联网DDoS攻击防御的计算,降低了网络延时以及成本,数据隐私安全性高,且由于该防御通常部署在网关节点,云平台通常不会成为攻击目标,能保障云平台的安全。
Description
本发明属于计算机技术领域,尤其涉及一种物联网DDoS攻击防御方法、装置、系统及存储介质。
物联网(Internet of Things,IoT)是互联网在现实世界的延伸。随着物联网技术的迅速发展,物联网安全问题越发凸显。分布式拒绝服务(Distributed Denial
of Service,DDoS)攻击是破坏网络服务可用性的主要手段,由于物联网感知节点和传输设备具有海量性、能量低、计算能力差、运行环境恶劣、通信协议庞杂等特点,使得其中的DDoS攻击都会比一般互联网中的强度更强和复杂度更高,产生的后果也会更为严重,因此,传统互联网的安全技术无法直接应用于物联网。
现在对物联网DDoS攻击进行防御的主流做法是:采用基于云计算的防御策略,借助云平台的高度灵活性(可以根据需要灵活配置与扩展,如中央处理器、内存、固态数据盘)和高性能(部署高端服务器,集中管理与监控)等特性,接入各种流量监控工具以及复杂的数据分析算法进行流量清洗,将正常流量和恶意流量区分开。基于云计算进行物联网DDoS攻击防御虽然可当DDoS攻击流量不断增大时,通过云端调度的方式,利用多个清洗集群协同工作,提高全网云清洗中心的总容量,但计算复杂,导致网络延时较大,且成本较高,云计算平台本身易成为攻击目标,另外,对数据隐私安全会产生威胁。
本发明的目的在于提供一种物联网DDoS攻击防御方法、装置、系统及存储介质,旨在解决现有技术所存在的、物联网DDoS攻击防御计算复杂、网络延时大、成本高、云平台及数据隐私安全性得不到保障的问题。
一方面,本发明提供了一种物联网分布式拒绝服务DDoS攻击防御方法,所述方法包括下述步骤:
获得从当前物联网设备传来的数据包;
解析所述数据包,获得所述数据包中指定位置信息;
根据所述指定位置信息与预设信息的匹配结果,对所述数据包进行对应DDoS攻击防御处理。
进一步的,所述方法还包括:
当所述匹配结果指示所述指定位置信息与所述预设信息匹配时,判断接收所述数据包的当前速率是否超过预设阈值;
若是,对应执行所述数据包的丢弃处理。
进一步的,根据所述指定位置信息与预设信息的匹配结果,对所述数据包进行对应DDoS攻击防御处理,具体为:
当所述预设信息指示所述物联网设备为非DDoS攻击方、所述指定位置信息与所述预设信息匹配时,放行所述数据包;当所述预设信息指示所述物联网设备为非DDoS攻击方、所述指定位置信息不与所述预设信息匹配时,判断接收所述数据包的当前速率是否超过预设阈值。
进一步的,根据所述指定位置信息与预设信息的匹配结果,对所述数据包进行对应DDoS攻击防御处理,具体为:
当所述预设信息指示所述物联网设备疑似为DDoS攻击方、所述指定位置信息与所述预设信息匹配时,判断接收所述数据包的当前速率是否超过预设阈值;当所述预设信息指示所述物联网设备疑似为DDoS攻击方、所述指定位置信息不与所述预设信息匹配时,放行所述数据包。
进一步的,所述数据包为因特网协议IP数据包,所述指定位置信息位于所述IP数据包的差分服务域、标志域、标识域和/或重载片偏移域中。
进一步的,所述方法还包括:
扫描接入的物联网设备,对所接入的所述物联网设备进行安全性检测,以判断所述物联网设备是否容易被作为DDoS攻击方;
当所接入的所述物联网设备容易被作为DDoS攻击方,对所接入的所述物联网设备进行安全修复处理。
另一方面,本发明提供了一种物联网安全网关,所述物联网安全网关包括:
传输单元,用于获得从当前物联网设备传来的数据包;
解析单元,用于解析所述数据包,获得所述数据包中指定位置信息;以及,
处理单元,用于根据所述指定位置信息与预设信息的匹配结果,对所述数据包进行对应DDoS攻击防御处理。
另一方面,本发明还提供了一种计算装置,包括:存储器及处理器,其特征在于,所述处理器执行所述存储器中存储的计算机程序时实现如上述方法中的步骤。
另一方面,本发明还提供了一种物联网系统,包括:物联网设备,以及如上述的物联网安全网关或如上述的计算装置。
另一方面,本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上述方法中的步骤。
本发明在获得从当前物联网设备传来的数据包后,解析所述数据包,获得所述数据包中指定位置信息,再根据所述指定位置信息与预设信息的匹配结果,对所述数据包进行对应DDoS攻击防御处理。这样,利用对物联网设备的数据包指定位置的标记,通过对标记的识别,区分DDoS攻击流量或非DDoS攻击流量,从而简化物联网DDoS攻击防御的计算,降低了网络延时以及成本,数据隐私安全性高,且由于该防御通常部署在网关节点,云平台通常不会成为攻击目标,能保障云平台的安全。
图1是本发明实施例一提供的物联网DDoS攻击防御方法的实现流程图;
图2是本发明实施例二提供的物联网DDoS攻击防御方法的实现流程图;
图3是本发明实施例五中物联网DDoS攻击防御方法所增加内容的实现流程图;
图4是本发明实施例六提供的物联网安全网关的结构示意图;
图5是本发明实施例七提供的计算装置的结构示意图;
图6是本发明实施例七提供的物联网系统的结构示意图;
图7是本发明一应用示例中使用NS-3网络模拟器模拟真实场景的示意图;
图8是本发明一应用示例中非物联网设备节点的网络延迟的对比示意图。
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
以下结合具体实施例对本发明的具体实现进行详细描述:
实施例一:
图1示出了本发明实施例一提供的物联网DDoS攻击防御方法的实现流程,为了便于说明,仅示出了与本发明实施例相关的部分,详述如下:
在步骤S101中,获得从当前物联网设备传来的数据包。
本实施例中,通常该物联网DDoS攻击防御方法可部署在物联网的安全网关、路由器,甚至服务器上,可对来自物联网设备的DDoS攻击流量或非DDoS攻击流量进行有效识别,并进行相应的DDoS攻击防御处理。
物联网设备可以是智能开关、智能空调、智能冰箱等智能家电,也可以是智能摄像头、智能报警器等智能安防设备等。
数据包可以是网络层协议数据包,也可以是传输层协议数据包等。网络层协议数据包可以是因特网协议(Internet
Protocol,IP)数据包、因特网控制报文协议(Internet
Control Message Protocol,ICMP)数据包或地址解析协议(Address Resolution Protocol,ARP)数据包等。传输层协议数据包可以是传输控制协议(Transmission
Control Protocol,TCP)数据包或用户数据报协议(User Datagram Protocol,UDP)数据包等。
在步骤S102中,解析数据包,获得数据包中指定位置信息。
本实施例中,为区分物联网设备流量是否为DDoS攻击流量,可对相应类型的数据包中指定位置的信息(即指定位置信息)进行设置。
当数据包为IP数据包时,指定位置信息位于IP数据包的差分服务域(Differentiated Services Field,DSF)、标志(Flags)域、标识(Identification)域和/或重载片偏移(Fragment Offset)域中。
例如:在现有IP数据包的差分服务域中,前六位被定义成用于服务质量(Quality
of Service,QoS)标记的差分服务代码点(Differentiated
Services Code Point,DSCP),后两位为保留位;在现有IP数据包的标识域中,第一位RF也是保留位,保留位在现有的IP数据包中没有规定用途而且在数据包传输中也不起作用,为了尽量减少与现有网络协议的冲突,减少对IP数据包的修改,对于来自不同物联网设备的IP数据包,可通过在传统IP数据包基础上,对上述保留位进行定义以用于提供该保留位对应的指定位置信息来区分识别物联网设备是否为DDoS攻击方,例如:如果上述三个保留位上的指定位置信息为预设信息二进制数据000时,则认为物联网设备疑似为DDoS攻击方。当然,预设信息还可以是其他具体的二进制数据等。
为了充分利用IP数据包首部中可用的空间,区分更多的厂商、物联网设备,除了利用上述三个保留位之外,还可通过利用IP数据包首部十六位标识域和重载片偏移域来获得更多的修改空间。
当然,在其他实施例中,数据包为其他网络层协议数据包或传输层协议数据包时,同样可以利用相应的保留位进行上述指定位置信息的定义,或者,增加相应数据位进行上述指定位置信息的定义等。
在步骤S103中,根据指定位置信息与预设信息的匹配结果,对数据包进行对应DDoS攻击防御处理。
本实施例中,当数据包中指定位置信息与预设信息匹配时,会得到指示当前物联网设备为非DDoS攻击方或疑似为DDoS攻击方的匹配结果。若匹配结果指示当前物联网设备为非DDoS攻击方,则将对来自该当前物联网设备的数据包执行放行处理,后续当前物联网设备与物联网服务器或其他物联网设备等之间可形成双向数据传输。若匹配结果指示当前物联网设备疑似为DDoS攻击方,则将对来自该当前物联网设备的数据包执行丢弃处理,后续当前物联网设备与物联网服务器或其他物联网设备等之间将无法形成双向数据传输。
当然,若匹配结果指示当前物联网设备疑似为DDoS攻击方,该物联网DDoS攻击防御方法可以包含如下内容之一:
以数据包目的地址所指向的目的站身份,对当前物联网设备进行应答,在应答消息中携带用于控制当前物联网设备关闭相应提供数据包传输用端口或服务的控制信令;
记录数据包中用于指示数据包来源(即当前物联网设备)的源地址,向物联网上的其他节点发送用于告知其他节点当前物联网设备疑似为DDoS攻击方的警示信息,该警示信息中携带有当前物联网设备的源地址,以使其他节点也能对来自当前物联网设备的数据包进行丢弃或作其他处理;
对已被疑似为DDoS攻击方的所有物联网设备的数据包发送行为进行特征提取,例如:提取到相应的行为发生时间、物联网设备对应地域(利用寻址功能)等信息,对所提取的特征进行统计分析,得到对应分析结果,分析结果可包含:DDoS攻击趋势数据、DDoS攻击追踪溯源数据等。
实施本实施例,利用对物联网设备的数据包指定位置的标记,通过对标记的识别,区分DDoS攻击流量或非DDoS攻击流量,从而简化物联网DDoS攻击防御的计算,降低了网络延时以及成本,数据隐私安全性高,且由于该防御通常部署在网关节点,云平台通常不会成为攻击目标,能保障云平台的安全(当然,该防御也可以策略性地部署在其他节点,例如:路由器或云服务器等,当为保障云平台安全时,相应增加辅助的其他安全防御机制即可)。
实施例二:
图2示出了本发明实施例二提供的物联网DDoS攻击防御方法的实现流程,为了便于说明,仅示出了与本发明实施例相关的部分,详述如下:
本实施例在实施例一基础上,进一步提供了如下内容:
步骤S103具体包括:
在步骤S201中,当上述匹配结果指示指定位置信息与预设信息匹配时,判断接收数据包的当前速率是否超过预设阈值,若是,则执行步骤S202,否则执行步骤S203。
在步骤S202中,对应执行数据包的丢弃处理。
在步骤S203中,放行数据包。
在本实施例中,若指示位置信息与预设信息匹配,则可初步判断当前物联网设备疑似为DDoS攻击方,为了进一步提高是否为DDoS攻击方的判断成功率,可进一步执行相应本实施例所增加的内容,即对接收来自当前物联网设备的数据包的速率进行进一步判断,如果该速率超过预设阈值时,则认为短时间内接收到来自当前物联网设备的大量数据包,则可认为相应进一步判定当前物联网设备为DDoS攻击方,因此丢弃来自当前物联网设备的数据包,以保证网关、服务器等尽可能少地受到当前物联网设备的DDoS攻击。
而如果指示位置信息与预设信息匹配,但接收数据包的当前速率未超过预设阈值,则认为当前物联网设备并非一定是DDoS攻击方,如果贸然丢弃来自当前物联网设备的数据包则会影响物联网正常作业,则相应权衡考虑后,会对来自当前物联网设备的数据包放行。
实施本实施例,可在实施例一基础上,利用DDoS攻击的上述特性,进行当前物联网设备是否DDoS攻击方的进一步判断,从而使得当前物联网设备是否DDoS攻击方的判断更为准确,物联网DDoS攻击防御方法更为均衡、可靠。
实施例三:
本实施例在实施例二基础上,进一步增加了如下内容:
步骤S103中,当预设信息指示物联网设备为非DDoS攻击方、指定位置信息与预设信息匹配时,放行数据包;当预设信息指示物联网设备为非DDoS攻击方、指定位置信息不与预设信息匹配时,判断接收数据包的当前速率是否超过预设阈值。
本实施例中,预设信息可以指示物联网设备为非DDoS攻击方,也就是说,在系统中设定了相应的白名单,当物联网设备在出厂时就已经设定了需要在数据包中指定位置增加与白名单匹配的信息时,那么,在正常情况下,其传输的数据包中指定位置信息就符合相应白名单要求。若指定位置信息被篡改,则有可能就使得该物联网设备已经被入侵成功而成为了DDoS攻击方。一些物联网设备,例如现在的智能家电,需要与厂商服务器、云端管控中心通信以实现智能互联,将代表与白名单匹配的信息,添加到厂商服务器、云端管控中心的白名单里面,从而一旦检测到指示位置信息与与白名单匹配的信息匹配,厂商服务器、云端管控中心就验证通过该数据包。
当预设信息指示物联网设备为非DDoS攻击方、指定位置信息与预设信息匹配时,则表明当前物联网设备在白名单内,应该对来自当前物联网设备的数据包放行。当预设信息指示物联网设备为非DDoS攻击方、指定位置信息不与预设信息匹配时,则初步判断当前物联网设备疑似为DDoS攻击方,为了进一步提高是否为DDoS攻击方的判断成功率,则需要利用DDoS攻击的上述特性,进行当前物联网设备是否DDoS攻击方的进一步判断。
实施例四:
本实施例在实施例二基础上,进一步增加了如下内容:
步骤S103中,当预设信息指示物联网设备疑似为DDoS攻击方、指定位置信息与预设信息匹配时,判断接收数据包的当前速率是否超过预设阈值;当预设信息指示物联网设备疑似为DDoS攻击方、指定位置信息不与预设信息匹配时,放行数据包。
本实施例中,预设信息可以指示物联网设备疑似为DDoS攻击方,也就是说,在系统中设定了相应的黑名单,例如:当物联网设备设备在出厂时就已经设定了需要在数据包中指定位置增加相应信息(任意信息或指定信息,但默认不能为空)时,那么,在正常情况下,其传输的数据包中指定位置信息不能为空,如果为空,则表征物联网设备疑似为DDoS攻击方。
当预设信息指示物联网设备疑似为DDoS攻击方、指定位置信息与预设信息匹配时,则初步判断当前物联网设备疑似为DDoS攻击方,为了进一步提高是否为DDoS攻击方的判断成功率,则需要利用DDoS攻击的上述特性,进行当前物联网设备是否DDoS攻击方的进一步判断。当预设信息指示物联网设备疑似为DDoS攻击方、指定位置信息不与预设信息匹配时,则表明当前物联网设备不在黑名单内,应该对来自当前物联网设备的数据包放行。
实施例五:
本实施例在上述实施例一至四中任一基础上,进一步提供了如下内容:
如图3所示,物联网DDoS攻击防御方法还包括:
在步骤S301中,扫描接入的物联网设备,对所接入的物联网设备进行安全性检测,以判断物联网设备是否容易被作为DDoS攻击方。
在步骤S302中,当所接入的物联网设备容易被作为DDoS攻击方,对所接入的物联网设备进行安全修复处理。
在本实施例中,当物联网设备接入物联网安全网关所辖物联网时,物联网安全网关会对这些物联网设备进行扫描检测,以检测所接入的物联网设备是否暴露服务及其端口、物联网设备是否采用默认密码或弱密码等。
根据上述扫描检测结果,物联网安全网关可执行如下安全修复处理:将物联网设备暴露的默认端口修改为不常用端口,增大端口开放协议被探测的难度,将默认密码或弱密码修改为强密码,并定期修改密码,以加固密码的安全性。
实施本实施例,可进一步判断物联网设备是否有成为DDoS攻击方的可能性,并且当存在这种风险时,进行相应的修复处理,以有效降低物联网设备成为DDoS攻击方的可能性,保障系统安全。
实施例六:
图4示出了本发明实施例六提供的物联网安全网关的结构,为了便于说明,仅示出了与本发明实施例相关的部分,其中包括:
传输单元401,用于获得从当前物联网设备传来的数据包。
解析单元402,用于解析数据包,获得数据包中指定位置信息。
处理单元403,用于根据指定位置信息与预设信息的匹配结果,对数据包进行对应DDoS攻击防御处理。
在本发明实施例中,物联网安全网关的各单元可由相应的硬件或软件单元实现,各单元可以为独立的软、硬件单元,也可以集成为一个软、硬件单元,在此不用以限制本发明。
物联网安全网关中各单元执行相应功能时,实现上述各实施例中方法时实现的步骤,可参考前述方法实施例的描述,在此不再赘述。
实施例七:
图5示出了本发明实施例七提供的计算装置的结构,为了便于说明,仅示出了与本发明实施例相关的部分。
本发明实施例的计算装置包括:处理器501及存储器502,处理器501执行存储器502中存储的计算机程序503时实现上述各个方法实施例中的步骤,例如图1所示的步骤S101至S103。
本发明实施例的计算装置可以为安全网关、路由器、服务器等。该计算装置中处理器501执行计算机程序503时实现上述各实施例中方法时实现的步骤,可参考前述方法实施例的描述,在此不再赘述。
实施例八:
图6示出了本发明实施例八提供的物联网系统的结构,为了便于说明,仅示出了与本发明实施例相关的部分。
本发明实施例的物联网系统包括:物联网设备601,以及如上述的物联网安全网关或如上述的计算装置602。
其中,物联网设备601、物联网安全网关或计算装置602的功能、结构可如上述相应实施例中内容类同,此处不再追溯。
实施例九:
在本发明实施例中,提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时实现上述各个方法实施例中的步骤,例如,图1所示的步骤S101至S103。或者,该计算机程序被处理器执行时实现上述各装置实施例中各单元的功能,例如图4所示单元401至403的功能。
本发明实施例的计算机可读存储介质可以包括能够携带计算机程序代码的任何实体或装置、记录介质,例如,ROM/RAM、磁盘、光盘、闪存等存储器。
下面通过若干具体应用示例对本申请内容进行说明:
(一)通过低成本地部署物联网安全网关,避免物联网设备成为DDoS攻击的受害者,避免物联网设备被僵尸网络招募。许多物联网设备由于配置比较繁琐费时,使用默认端口、默认密码或弱密码,导致容易被扫描并密码爆破,进而被恶意代码感染成为僵尸主机。一方面,这些僵尸主机会继续感染其他的设备,组成大规模的物联网僵尸网络;另一方面,它们接受并执行来自命令和控制器服务器的指令,发动大规模DDoS攻击。本申请实施例提供一个物联网安全网关来管理控制物联网设备,具有至少三个功能:其一,扫描检测出具有安全风险的物联网设备,及时发现接入的物联网设备的脆弱点;其二,低成本地管理配置物联网设备,使物联网设备获得足够的抗DDoS攻击的防护能力;其三,标记物联网设备数据包,与非物联网设备数据包区分开,抑制由物联网设备组成的僵尸网络发动的DDoS攻击。
(二)通过数据包标记区分流量是否来自物联网设备。
智能摄像头、智能冰箱等物联网设备的流量是不会到达Twitter和Github等服务器的,因为这些服务器不需要用到物联网设备。所以,一旦在Twitter和Github等服务器上发现某些流量是来自物联网设备的,那么这些流量就是可疑的,很有可能是感染了Mirai等病毒的物联网设备发起的DDoS攻击流量,这时就需要对这些流量进行过滤,防止这些流量占用服务器资源,造成服务器资源耗尽而无法响应正常请求。这可以避免Twitter和Github等服务器沦为僵尸网络的直接受害者。
(三)使用NS-3网络模拟器模拟真实场景的流量情况。
如图7所示,在实验室中将一台计算机作为宿主机,在宿主机上运行着NS-3网络模拟器,NS-3网络模拟器用来模拟物联网环境,使用节点容器模拟物联网设备、物联网安全网关、路由器和服务器。物联网设备进行对服务器的UDP泛洪攻击,使用基于数据包标记的物联网DDoS攻击防御方法,通过对物联网设备流量的标记,能够实时地区分出物联网设备流量和非物联网设备流量,得到DDoS攻击的分析结果,服务器将减少处理或丢弃物联网设备的流量,进行DDoS攻击的缓和。
在实验的验证当中,对比改进前后的非物联网设备节点的通信时间,计算如下:非物联网设备节点与物联网设备节点同时开始与服务器进行通信,在非物联网设备节点发送信息的那一刻获取当前系统时间start,当请求发送到服务器端,服务器端进行响应,把信息返回给非物联网设备节点,在非物联网设备节点收到服务器返回的信息那一刻,获取到一个当前系统时间end,通过两数相减,可以得到非物联网设备节点的网络延迟。结果如图8所示。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
- 一种物联网分布式拒绝服务DDoS攻击防御方法,其特征在于,所述方法包括下述步骤:获得从当前物联网设备传来的数据包;解析所述数据包,获得所述数据包中指定位置信息;根据所述指定位置信息与预设信息的匹配结果,对所述数据包进行对应DDoS攻击防御处理。
- 如权利要求1所述的方法,其特征在于,根据所述指定位置信息与预设信息的匹配结果,对所述数据包进行对应DDoS攻击防御处理,具体包括:当所述匹配结果指示所述指定位置信息与所述预设信息匹配时,判断接收所述数据包的当前速率是否超过预设阈值;若是,对应执行所述数据包的丢弃处理。
- 如权利要求2所述的方法,其特征在于,根据所述指定位置信息与预设信息的匹配结果,对所述数据包进行对应DDoS攻击防御处理,具体为:当所述预设信息指示所述物联网设备为非DDoS攻击方、所述指定位置信息与所述预设信息匹配时,放行所述数据包;当所述预设信息指示所述物联网设备为非DDoS攻击方、所述指定位置信息不与所述预设信息匹配时,判断接收所述数据包的当前速率是否超过预设阈值。
- 如权利要求2所述的方法,其特征在于,根据所述指定位置信息与预设信息的匹配结果,对所述数据包进行对应DDoS攻击防御处理,具体为:当所述预设信息指示所述物联网设备疑似为DDoS攻击方、所述指定位置信息与所述预设信息匹配时,判断接收所述数据包的当前速率是否超过预设阈值;当所述预设信息指示所述物联网设备疑似为DDoS攻击方、所述指定位置信息不与所述预设信息匹配时,放行所述数据包。
- 如权利要求1所述的方法,其特征在于,所述数据包为因特网协议IP数据包,所述指定位置信息位于所述IP数据包的差分服务域、标志域、标识域和/或重载片偏移域中。
- 如权利要求1所述的方法,其特征在于,所述方法还包括:扫描接入的物联网设备,对所接入的所述物联网设备进行安全性检测,以判断所述物联网设备是否容易被作为DDoS攻击方;当所接入的所述物联网设备容易被作为DDoS攻击方,对所接入的所述物联网设备进行安全修复处理。
- 一种物联网安全网关,其特征在于,所述物联网安全网关包括:传输单元,用于获得从当前物联网设备传来的数据包;解析单元,用于解析所述数据包,获得所述数据包中指定位置信息;以及,处理单元,用于根据所述指定位置信息与预设信息的匹配结果,对所述数据包进行对应DDoS攻击防御处理。
- 一种计算装置,包括:存储器及处理器,其特征在于,所述处理器执行所述存储器中存储的计算机程序时实现如权利要求1至6任一项所述方法中的步骤。
- 一种物联网系统,包括:物联网设备,以及如权利要求7所述的物联网安全网关或如权利要求8所述的计算装置。
- 一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述方法中的步骤。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910014663.1A CN109905361A (zh) | 2019-01-08 | 2019-01-08 | 物联网DDoS攻击防御方法、装置、系统及存储介质 |
CN201910014663.1 | 2019-01-08 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2020143119A1 true WO2020143119A1 (zh) | 2020-07-16 |
Family
ID=66943693
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/CN2019/079699 WO2020143119A1 (zh) | 2019-01-08 | 2019-03-26 | 物联网DDoS攻击防御方法、装置、系统及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN109905361A (zh) |
WO (1) | WO2020143119A1 (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112182567A (zh) * | 2020-09-29 | 2021-01-05 | 西安电子科技大学 | 一种多步攻击溯源方法、系统、终端及可读存储介质 |
CN113452696A (zh) * | 2021-06-25 | 2021-09-28 | 中标慧安信息技术股份有限公司 | 物联网平台运算异常状态监测方法及系统 |
CN114374533A (zh) * | 2021-12-08 | 2022-04-19 | 国网辽宁省电力有限公司经济技术研究院 | 一种dos攻击下配电信息物理系统故障处理方法 |
CN114978770A (zh) * | 2022-07-25 | 2022-08-30 | 睿至科技集团有限公司 | 基于大数据的物联网安全风险预警管控方法及系统 |
CN114978600A (zh) * | 2022-04-25 | 2022-08-30 | 中国联合网络通信集团有限公司 | 异常流量处理方法、系统、设备及存储介质 |
CN115801475A (zh) * | 2023-02-14 | 2023-03-14 | 江西师范大学 | 一种基于双重扫描算法的ddos攻击检测方法及系统 |
WO2023151256A1 (zh) * | 2022-02-11 | 2023-08-17 | 三六零科技集团有限公司 | 弱口令爆破攻击的防护方法、装置、介质、电子设备 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111132142A (zh) * | 2019-12-24 | 2020-05-08 | 中国联合网络通信集团有限公司 | 一种安全防御方法及装置 |
CN111314307A (zh) * | 2020-01-16 | 2020-06-19 | 重庆特斯联智慧科技股份有限公司 | 物联网系统的安全防御方法、物联网系统及存储介质 |
CN111510458A (zh) * | 2020-04-24 | 2020-08-07 | 太仓红码软件技术有限公司 | 一种基于物联网的网络攻击防御系统的工作方法 |
CN114465774B (zh) * | 2021-12-30 | 2024-04-19 | 奇安信科技集团股份有限公司 | 一种网络入侵防御方法及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101631026A (zh) * | 2008-07-18 | 2010-01-20 | 北京启明星辰信息技术股份有限公司 | 一种防御拒绝服务攻击的方法及装置 |
CN103428224A (zh) * | 2013-08-29 | 2013-12-04 | 中国科学院计算技术研究所 | 一种智能防御DDoS攻击的方法和装置 |
CN105516283A (zh) * | 2015-12-01 | 2016-04-20 | 成都中讯创新信息技术有限公司 | 一种提高云计算环境稳定性的装置 |
CN106209852A (zh) * | 2016-07-13 | 2016-12-07 | 成都知道创宇信息技术有限公司 | 一种基于dpdk的dns拒绝服务攻击防御方法 |
CN108111542A (zh) * | 2018-01-30 | 2018-06-01 | 深圳大学 | 基于SDN的物联网DDoS攻击防御方法、装置、设备及介质 |
CN108390870A (zh) * | 2018-02-09 | 2018-08-10 | 北京天融信网络安全技术有限公司 | 一种防御网络攻击的方法、装置、存储介质及设备 |
CN108881221A (zh) * | 2018-06-14 | 2018-11-23 | 浙江远望信息股份有限公司 | 一种基于数据包过滤的物联网设备通信安全芯片 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7620733B1 (en) * | 2005-03-30 | 2009-11-17 | Cisco Technology, Inc. | DNS anti-spoofing using UDP |
CN103916389B (zh) * | 2014-03-19 | 2017-08-08 | 汉柏科技有限公司 | 防御HttpFlood攻击的方法及防火墙 |
CN106888197A (zh) * | 2015-12-16 | 2017-06-23 | 北京奇虎科技有限公司 | 一种网络风险的处理方法和设备 |
CN108289088B (zh) * | 2017-01-09 | 2020-12-11 | 中国移动通信集团河北有限公司 | 基于业务模型的异常流量检测系统及方法 |
-
2019
- 2019-01-08 CN CN201910014663.1A patent/CN109905361A/zh active Pending
- 2019-03-26 WO PCT/CN2019/079699 patent/WO2020143119A1/zh active Application Filing
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101631026A (zh) * | 2008-07-18 | 2010-01-20 | 北京启明星辰信息技术股份有限公司 | 一种防御拒绝服务攻击的方法及装置 |
CN103428224A (zh) * | 2013-08-29 | 2013-12-04 | 中国科学院计算技术研究所 | 一种智能防御DDoS攻击的方法和装置 |
CN105516283A (zh) * | 2015-12-01 | 2016-04-20 | 成都中讯创新信息技术有限公司 | 一种提高云计算环境稳定性的装置 |
CN106209852A (zh) * | 2016-07-13 | 2016-12-07 | 成都知道创宇信息技术有限公司 | 一种基于dpdk的dns拒绝服务攻击防御方法 |
CN108111542A (zh) * | 2018-01-30 | 2018-06-01 | 深圳大学 | 基于SDN的物联网DDoS攻击防御方法、装置、设备及介质 |
CN108390870A (zh) * | 2018-02-09 | 2018-08-10 | 北京天融信网络安全技术有限公司 | 一种防御网络攻击的方法、装置、存储介质及设备 |
CN108881221A (zh) * | 2018-06-14 | 2018-11-23 | 浙江远望信息股份有限公司 | 一种基于数据包过滤的物联网设备通信安全芯片 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112182567A (zh) * | 2020-09-29 | 2021-01-05 | 西安电子科技大学 | 一种多步攻击溯源方法、系统、终端及可读存储介质 |
CN112182567B (zh) * | 2020-09-29 | 2022-12-27 | 西安电子科技大学 | 一种多步攻击溯源方法、系统、终端及可读存储介质 |
CN113452696A (zh) * | 2021-06-25 | 2021-09-28 | 中标慧安信息技术股份有限公司 | 物联网平台运算异常状态监测方法及系统 |
CN113452696B (zh) * | 2021-06-25 | 2022-09-06 | 中标慧安信息技术股份有限公司 | 物联网平台运算异常状态监测方法及系统 |
CN114374533A (zh) * | 2021-12-08 | 2022-04-19 | 国网辽宁省电力有限公司经济技术研究院 | 一种dos攻击下配电信息物理系统故障处理方法 |
CN114374533B (zh) * | 2021-12-08 | 2023-10-13 | 国网辽宁省电力有限公司经济技术研究院 | 一种dos攻击下配电信息物理系统故障处理方法 |
WO2023151256A1 (zh) * | 2022-02-11 | 2023-08-17 | 三六零科技集团有限公司 | 弱口令爆破攻击的防护方法、装置、介质、电子设备 |
CN114978600A (zh) * | 2022-04-25 | 2022-08-30 | 中国联合网络通信集团有限公司 | 异常流量处理方法、系统、设备及存储介质 |
CN114978600B (zh) * | 2022-04-25 | 2023-06-23 | 中国联合网络通信集团有限公司 | 异常流量处理方法、系统、设备及存储介质 |
CN114978770A (zh) * | 2022-07-25 | 2022-08-30 | 睿至科技集团有限公司 | 基于大数据的物联网安全风险预警管控方法及系统 |
CN115801475A (zh) * | 2023-02-14 | 2023-03-14 | 江西师范大学 | 一种基于双重扫描算法的ddos攻击检测方法及系统 |
CN115801475B (zh) * | 2023-02-14 | 2023-04-28 | 江西师范大学 | 一种基于双重扫描算法的ddos攻击检测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109905361A (zh) | 2019-06-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2020143119A1 (zh) | 物联网DDoS攻击防御方法、装置、系统及存储介质 | |
WO2021032207A1 (zh) | 网络威胁的诱捕方法、系统和转发设备 | |
EP2570954B1 (en) | Method, device and system for preventing distributed denial of service attack in cloud system | |
US9088607B2 (en) | Method, device, and system for network attack protection | |
WO2019179375A1 (zh) | 一种防御网络攻击的方法及装置 | |
WO2019178966A1 (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
JP2008165796A (ja) | エンドポイントリソースを使用したネットワークセキュリティ要素 | |
US20190058731A1 (en) | User-side detection and containment of arp spoofing attacks | |
AbdelSalam et al. | Mitigating ARP spoofing attacks in software-defined networks | |
US20170237769A1 (en) | Packet transfer method and packet transfer apparatus | |
CN111756712A (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
US20110026529A1 (en) | Method And Apparatus For Option-based Marking Of A DHCP Packet | |
US20080219162A1 (en) | Method and system for controlling network access on a per-flow basis | |
US20180324212A1 (en) | METHOD AND DEVICE FOR SIMULATING AND DETECTING DDoS ATTACKS IN SOFTWARE DEFINED NETWORKING | |
Lu et al. | An SDN-based authentication mechanism for securing neighbor discovery protocol in IPv6 | |
Lin et al. | Mitigating SYN flooding attack and ARP spoofing in SDN data plane | |
US9686311B2 (en) | Interdicting undesired service | |
US8893271B1 (en) | End node discovery and tracking in layer-2 of an internet protocol version 6 network | |
KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
KR101060959B1 (ko) | AP를 이용한 DDoS 공격 차단 시스템 및 방법 | |
Yaibuates et al. | ICMP based malicious attack identification method for DHCP | |
Chen et al. | Preventing DRDoS attacks in 5G networks: a new source IP address validation approach | |
US11838197B2 (en) | Methods and system for securing a SDN controller from denial of service attack | |
CN112968913B (zh) | 一种基于可编程交换机的ddos防御方法、装置、设备及介质 | |
Yoganguina et al. | Proposition of a model for securing the neighbor discovery protocol (NDP) in IPv6 environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 19908487 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
32PN | Ep: public notification in the ep bulletin as address of the adressee cannot be established |
Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205A DATED 03/11/2021) |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 19908487 Country of ref document: EP Kind code of ref document: A1 |